当前位置：首页 > news >正文

【论文阅读】Comment on the Security of “VOSA“

news 来源：原创 2025/5/9 23:16:29

Comment on the Security of Verifiable and Oblivious Secure Aggregation for Privacy-Preserving Federated Learning -- 关于隐私保护联邦中可验证与遗忘的安全聚合的安全性

论文来源
摘要
Introduction
回顾 VOSA 方案
对VOSA不可伪造性的攻击
- 对于类型 I 的攻击
- 对于类型 II 的攻击

论文来源

名称	On the Security of Verifiable and Oblivious Secure Aggregation for Privacy-Preserving Federated Learning
期刊	TDSC 2024
作者	Jiahui Wu; Weizhe Zhang

摘要

Recently, to resist privacy leakage and aggregation result forgery in federated learning (FL), Wang et al. proposed a verifiable and oblivious secure aggregation protocol for FL, called VOSA. They claimed that VOSA was aggregate unforgeable and verifiable under a malicious aggregation server and gave detailed security proof. In this article, we show that VOSA is insecure, in which local gradients/aggregation results and their corresponding authentication tags/proofs can be tampered with without being detected by the verifiers. After presenting specific attacks, we analyze the reason for this security issue and give a suggestion to prevent it.

最近，为了抵御联邦学习（FL）中的隐私泄露和聚合结果伪造，Wang等人提出了一种可验证且不经意的联邦学习安全聚合协议，称为VOSA。他们声称，在VOSA协议中，恶意聚合服务器是无法伪造和可验证的，并给出了详细的安全证明。本文中，我们展示了VOSA是不安全的，其中 本地梯度/聚合结果 及其对应的 认证标签/证明 可以被篡改而不被验证者检测到。在展示具体攻击之后，我们分析了此安全问题的原因，并提出了防止该问题的建议。

Introduction

联邦学习（FL）是一种流行的分布式机器学习范式，它使多个用户能够在不共享其私有数据集的情况下共同训练模型。在FL中，每个用户只需提交其训练后的本地梯度到中央聚合服务器（AS）进行全局模型聚合。这样可以在利用分布式数据集的同时缓解这些数据集的隐私泄露，从而获得更准确的全局模型。然而，提交的本地梯度也泄露了数据隐私。此外，未经信任的AS可能会修改或伪造聚合结果以欺骗用户。
为减轻上述两个安全问题，Wang等人最近提出了 VOSA 方案，该方案设计了一种用于联邦学习（FL）的可验证和不经意的安全聚合协议。在协议中，构建了加密方法和认证标签生成方法，以保护数据隐私并验证聚合结果的正确性。Wang等人声称，VOSA下恶意聚合服务器（AS）是不可伪造和可验证的，并给出了详细的安全性证明。不幸的是，在本文中，通过分析VOSA的安全性，我们表明它是不安全的。特别是，VOSA无法抵抗来自恶意AS的伪造攻击，我们发现AS可以伪造密文及其对应的标签，也可以伪造聚合结果及其证明，欺骗验证者（即用户）接受伪造的聚合结果。我们提出了针对VOSA的两个具体伪造攻击。在分析该安全问题的原因后，我们提供了一个建议以克服此问题。

回顾 VOSA 方案

在本节中，我们简要回顾VOSA方案。系统模型包含四个实体：密钥生成中心（KGC）、用户、收集器和聚合服务器（AS）。在威胁模型中，恶意的AS可能会篡改或伪造聚合结果和证明，以欺骗用户接受不正确的结果。下面，我们描述包含五个阶段的 VOSA 详细协议。

阶段 0：建立阶段：KGC 生成并发布公共系统参数 $pm = \{N, w_0, g_1, g_2, h_1, h_2, G_1, G_2, G_T, H_0, H_1\}$ ，其中 $N = pq$ ， $p$ 和 $q$ 是两个安全的大素数； $w_0$ 是初始模型参数； $G_1$ , $G_2$ 是两个素数阶为 $p$ 的乘法循环群； $g_1$ , $g_2$ 分别是 $G_1$ , $G_2$ 的两个随机生成元； $h_1 = g_1^a, h_2 = g_2^a, a \in Z_p^∗$ ； $G_1 × G_2 \to G_T$ 是一个可计算的双线性对； $H_0 : \{0, 1\}^∗ \to Z_{N^2}^∗$ 和 $H_1 : \{0, 1\}^∗ \to G_1$ 是两个哈希函数。AS 生成其秘密钥匙 $sk_A \in Z_{N^2}^∗$ 。每个用户 $\mathcal{U}_i$ 生成其加密钥匙 $sk_i ∈ [0, N^2]$ 和标签钥匙 $tk_i \in Z_{N^2}^∗$ 。
阶段 1：掩码和标签阶段：在第 $t$ 次训练周期， $\mathcal{U}_i$ 将其本地梯度 $w_{i,t}$ 加密为密文 $C_{i,t} = (1 + w_{i,t} N )H_0(t)^{sk_i} \ mod \ N^2$ ，并生成认证标签 $T_{i,t} = H_1(t)^{tk_i} h_1^{w_{i,t}}$ 。然后 $\mathcal{U}_i$ 将 $C_{i,t}, T_{i,t})$ 发送到 AS 。
阶段2：收集阶段：AS生成其公钥 $pk_{A,t} = (pk_{A,t}^1, pk_{A,t}^2)$ 并将其分发给所有用户 $\mathcal{U}_i \in \mathcal{U}_1$ ，其中 $pk_{A,t}^1 = H_0(t)^{sk_A}$ ， $pk_{A,t}^2 = h_2^{sk_A}$ ， $\mathcal{U}_1$ 包含所有将密文和标签发送给 AS 的用户。然后， $\mathcal{U}_i$ 生成其辅助信息 $Au_{i,t} = (pk_{A,t}^1)^{sk_i}，Vk_{i,t} = (pk_{A,t}^2)^{tk_i}$ 并将其发送给收集器。收集器构建用户列表 $\mathcal{U}_3 = \mathcal{U}_1 \cap \ \mathcal{U}_2$ （ $\mathcal{U}_2$ 包含所有将辅助信息发送给收集器的用户）并计算解密密钥 $Au_t = \prod_{\mathcal{U}_i \in \mathcal{U}_3} Au_{i,t}$ 和验证密钥 $Vk_t = \prod_{\mathcal{U}_i \in \mathcal{U}_3} Vk_{i,t}$ 。最后，收集器将 $Au_t, \mathcal{U}_3$ 发送给AS，并将 $Vk_t$ 发送给 $\mathcal{U}_3$ 中的所有用户。
第3阶段：解密和聚合阶段：AS将 $\mathcal{U}_3$ 中所有用户的密文聚合为聚合密文 $C_t = (\prod_{\mathcal{U}_i \in \mathcal{U}_3} Ci,t)^{sk_A} \ mod \ N^2$ ，然后将其解密为聚合明文 $W_t = sk_A^{−1 } \frac{\frac{C_t}{Au_t}-1}{N} \ mod \ N$ 。AS 将所有认证标签聚合为证明 $(\prod_{\mathcal{U}_i \in \mathcal{U}_3} T_{i,t})^{sk_A}$ ，并将 $W_t, T_t)$ 发送给 $\mathcal{U}_3$ 中的所有用户。
第4阶段：验证阶段：每个用户通过检查 $e(T_t, h_2) \stackrel{\text{\tiny ?}}{=} e(H_1(t), Vk_t) \cdot e(h_1^{W_t} , pk_{A,t}^2)$ 来验证聚合明文的正确性。如果等式成立，那么 $W_t$ 是正确的聚合明文；否则，它是不正确的。

对VOSA不可伪造性的攻击

在VOSA中，Wang等人声称VOSA实现了聚合的不可伪造性和可验证性，以抵御恶意的AS发起篡改 / 伪造攻击，欺骗用户接受错误的聚合结果。

然而，我们发现它不能抵抗两种类型的伪造攻击：

类型 I：AS 篡改任意用户的密文 / 标签对，并欺骗所有用户接受聚合结果。
类型 II：AS 篡改聚合结果及其证明，以欺骗所有用户接受篡改后的聚合结果。

我们在下面提供详细的攻击情况。

对于类型 I 的攻击

AS 首先篡改了任意用户 $\mathcal{U}_i \in \mathcal{U}_3$ 的密文/标签对，如下所示：

AS 计算 $1+w_{i,t}'N , h_1^{w_{i,t}'})$ ，其中 $w_{i,t}'$ 是 AS 任意伪造的梯度。
AS篡改了 $\mathcal{U}_i$ 的密文/标签对 $C_{i,t}, T_{i,t})$ 为篡改后的密文/标签对。

在这里插入图片描述

其中 $w_{i,t}^* = w_{i,t} + w_{i,t}'$ 是被篡改的梯度。记 $\mathcal{U}^∗ (\mathcal{U}^∗ ⊆ \mathcal{U}_3)$ 为其密文/标签对被 AS 篡改的用户列表。为了便于后续的呈现，我们将 $\mathcal{U}_j \in \mathcal{U}_3 \setminus \mathcal{U}^∗$ 的梯度表示为 $w_{j,t}^* = w_{j,t}$ 。

然后，AS 将所有 $\mathcal{U}_3$ 用户的密文聚合为伪造的聚合密文 $C_t^∗$ 如（1），并使用去伪装密钥 $Au_t$ 和其私钥 $sk_A$ 解密 $C_t^∗$ 以获得伪造的聚合明文 $W_t^∗$ 如（2）。AS 计算伪造的聚合标签 $T_t^∗$ 如（3）。然后 AS 将 $W_t^∗, T_t^∗)$ 发送给 $\mathcal{U}_3$ 中的所有用户以进行验证。

在这里插入图片描述

在接收到伪造的聚合值 $W_t^∗, T_t^∗)$ 时，每个用户通过检查验证 $W_t^∗$ 的正确性：

根据双线性配对性质，(4) 的左侧等于（4）的右侧。然后， $W_t^∗$ 被验证为正确，因此 VOSA 无法抵抗 I 型伪造攻击。
在这里插入图片描述

对于类型 II 的攻击

AS 先在 $W_t$ 的基础上伪造一个聚合明文 $W_t^∗ = W_t + w^∗$ ，其中 $w^∗$ 是一个随机选择的梯度。然后，AS 修改 $W_t$ 的证明 $T_t$ 为证明 $T_t^∗ = T_t \cdot \ h_1^{w^∗sk_A}$ 。最后，AS 将 $W_t^∗, T_t^∗)$ 发送给用户进行验证。在验证阶段，每个用户验证：
在这里插入图片描述
因此，VOSA 无法抵抗 II 型伪造攻击。

讨论：我们攻击的主要原因是VOSA的加密 / 认证标签生成方法使得密文 / 标签可以轻易地被恶意对手篡改，而不需要用户的加密 / 标签密钥。更明确地说，在密文和标签时，用户密钥不会直接影响明文。具体，一个密文 $C_{i,t} = (1 + w_{i,t}N )H_0(t)^{sk_i} \ mod \ N^2$ / 标签 $T_{i,t} = H_1(t)^{tk_i} h_1^{w_{i,t}}$ 可以被视为由两个独立部分组成： ${C_{i,t}^{(1)} , C_{i,t}^{(2)} = \{(1 + w_{i,t}N ), H_0(t)^{sk_i} \} / \{T_{i,t}^{(1)} , T_{i,t}^{(2)} \} = \{h_1^{w_{i,t}} ,H_1(t)^{tk_i}\}$ ，密文 / 标签的两个部分分别包含明文 $w_{i,t}$ 和密钥 $sk_i/tk_i$ ，从而使我们可以在篡改包含明文的部分（即 $C_{i,t}^{(1)} / T_{i,t}^{(1)}$ ）时进行攻击。

虽然我们的攻击可以通过将用户密钥放在部分 $C_{i,t}^{(1)}$ 和 $T_{i,t}^{(1)}$ 上来防止，但我们强调此方法对于VOSA来说难以维持解密的正确性。例如，我们将加密方法修改为 $\tilde{C_{i,t}} = (1 + w_{i,t}N )^{sk_i} H_0(t)^{sk_i} \ mod \ N^2$ ，那么聚合密文是 $\tilde{C_t} = (\prod_{\mathcal{U}_i \in \mathcal{U}_3}\tilde{C_{i,t}})^{sk_A} \ mod \ N^2 = (1+sk_A\sum_{\mathcal{U}_i \in \mathcal{U}_3}sk_i w_{i,t}N)H_0(t)^{sk_A\sum_{\mathcal{U}_i \in \mathcal{U}_3}sk_i} \ mod \ N^2$ ，并且其解密结果为 $\tilde{W_t} = sk_A^{-1} \frac{\frac{\tilde{C}}{Au_t}-1}{N}\ mod \ N =\sum_{\mathcal{U}_i \in \mathcal{U}_3}sk_i w_{i,t} \ mod \ N \neq \sum_{\mathcal{U}_i \in \mathcal{U}_3}w_{i,t} \ mod \ N$ 。也就是说，解密结果不正确。

上述方法不可行，主要是因为用户自己生成的密钥彼此不同，因此这些密钥在解密时无法去除。因此，我们建议 可信的KGC生成一个相同的共享密钥 $s$ ，并将其分享给所有用户。然后， $\mathcal{U}_i$ 进行加密、标签生成和解密操作，分别为： $C_{i,t} = (1 + w_{i,t}N)^sH_0(t)^{sk_i} \ mod \ N^2$ , $T_{i,t} = H_1(t)^{tk_i} h_1^{w_{i,t}s}$ , 和 $\tilde{W_t} = sk_A^{-1} \frac{\frac{\tilde{C}}{Au_t}-1}{Ns}\ mod \ N$ 。我们提醒，这种方法要求AS不与任何用户串通；否则，AS知道 $s$ 后仍可发起我们的伪造攻击。